正規サイトでも危険、1万以上のサイトにXSSの脆弱性 - シマンテック

シマンテックは、インターネット上を監視し、収集したデータをもとに作成した「インターネットセキュリティ脅威レポート」を公開した。

同レポートによると、2007年に検出された脅威は71万1912件で、2006年の12万5243件から約5.7倍と大きく跳ね上がった。不正コードの累計は112万2311件だという。また一般向けにリリースされたアプリケーション5万4609件のうち、65％が悪意あるソフトだった。正規アプリケーションの数を不正アプリケーションが上回ったのは、今回の調査がはじめて。

攻撃の傾向としては、ネットワーク経由の攻撃からウェブサイトの改ざんへ手口が移行している。従来は、悪意あるサイトや不審なメールの添付ファイルを閲覧しなければ、リスクを押さえることが可能だったが、正規サイトが改ざんされているだけに、被害を完全に避けるのは難しくなっている。

さらにサイト運営者による脆弱性への対応の甘さを指摘。同社では2007年下半期に、クロスサイトスクリプティングの脆弱性について、1万1253件の報告を受けており、前年の6961件から大幅に増加した。しかしながら、サイト管理者がウェブサイトに修正プログラムを適用したケースは、473件と全体の約4％と低い数値を示している。

またフィッシング詐欺サイトをホストするサーバは、8万7963台を確認しており、前期と比べ167％増加した。サーバ内部の情報を取得するより、フィッシングをはじめ、エンドユーザーの機密情報を狙った攻撃が目立っており、悪意のある脅威の68％を占めた。

ブラックマーケットにおいて、もっとも活発に流通しているのが銀行口座で、全体の22％を占めており、1件あたり10ドルで取引されている。クレジットカード情報が全体の13％で、1件あたり0.40ドルとさらに安価だった。

（Security NEXT - 2008/04/17 ） ツイート

PR

関連記事

2023年上場関連企業による個人情報事故は175件 - TSR
個人情報漏洩時の謝罪対応、約3割がマニュアル化
自治体におけるマイナンバー取扱状況を公表 - 個情委
Pマーク事業者の事故報告は3048件 - 前年度比約15％増
「サイバーセキュリティ」認知度5割届かず - 3割弱が対策未実施
テレワークで機密情報の特例持出が増加 - ルール遵守、半数近くが「自己確認」のみ
2021年度の個人情報漏洩などの報告は6000件弱 - 4件に1件が不正アクセス
国内上場企業が優先対処したいリスク、上位に「サイバー攻撃」
中小企業の3分の1、直近3年間のセキュ投資ゼロ - 「必要性を感じない」
ソフト全般「脆弱性」対策の必要性、PC利用者で約6割が認知